受控安全代码验证制造技术
Controlled secure code validation
The present invention provides a system, method, circuit, and computer-readable medium for controlled secure code verification. In one aspect, a non temporary computer readable storage medium having stored thereon in the one or more processor execution method comprises the following operation instructions caused by one or more processor execution: the request is sent to the client device, the request includes properties of specific parts to multiple parts since the stored in the client device within the code of the question, the question of specific memory address range includes instructions corresponding to the code of the specific part of the data; receiving a response to the request from the client device, the response contains the code and the the nature of the associated information; based on the received information and check the correctness of the response; and based on the correctness of the response test, determine the code for the authorization code.
【技术实现步骤摘要】
受控安全代码验证
本专利技术一般来说涉及代码验证,特定来说涉及受控安全代码验证。
技术介绍
在实例性情境中,实施用以保护在装置上执行的代码或程序免受欺骗性操作的修改或攻击的方法。举例说明,在实例性安全启动方法中,装置中的处理器产生启动代码的摘要且使用所述启动代码的所存储验证签名来证实所述启动代码的所述摘要。然而,此启动实施方案由所述装置的所述处理器本地执行,且因此受此本地处理器的性能、存储及安全性限制。由于成本约束,本地安全启动的安全性可由于有限计算能力或缺乏对启动过程、操作存储器及/或证实密钥的保护而受限制。在一些情形中,外部装置用于证实真实性且将证实结果报告给处理器。然而,可存在将准许攻击者破坏安全启动操作且允许欺骗性操作的多个攻击途径,例如,使用中间人装置修改启动代码,或者修改证实的根公开密钥或签名。
技术实现思路
本说明书描述用于受控安全代码验证的系统、方法、电路及计算机可读媒体。在一个方面,一种非暂时性计算机可读存储媒体其上存储有在由一或多个处理器执行时致使所述一或多个处理器执行包括以下各项的操作的指令:将请求从验证装置发送到本地耦合到所述验证装置的客户端装...
【技术保护点】
一种系统,其包括:客户端装置;及验证装置,其耦合到所述客户端装置且经配置以:将请求发送到所述客户端装置,所述请求包含对来自存储于所述客户端装置内的代码的多个部分当中的特定部分的性质的质询,所述质询包括指示对应于所述代码的所述特定部分的特定存储器地址范围的数据;从所述客户端装置接收对所述请求的响应,所述响应包含与所述代码的所述性质相关联的信息,所述信息是由所述客户端装置基于所述代码而产生;基于所述所接收信息而检验所述响应的正确性;及基于检验了所述响应的正确性,确定所述代码为经授权代码。
【技术特征摘要】
2016.02.16 US 15/044,7701.一种系统,其包括:客户端装置;及验证装置,其耦合到所述客户端装置且经配置以:将请求发送到所述客户端装置,所述请求包含对来自存储于所述客户端装置内的代码的多个部分当中的特定部分的性质的质询,所述质询包括指示对应于所述代码的所述特定部分的特定存储器地址范围的数据;从所述客户端装置接收对所述请求的响应,所述响应包含与所述代码的所述性质相关联的信息,所述信息是由所述客户端装置基于所述代码而产生;基于所述所接收信息而检验所述响应的正确性;及基于检验了所述响应的正确性,确定所述代码为经授权代码。2.根据权利要求1所述的系统,其中所述验证装置通过网络耦合到远程主机装置,且其中所述远程主机装置经配置以将所述经授权代码的整个映像提供到所述验证装置及所述客户端装置。3.一种非暂时性计算机可读存储媒体,其上存储有在由一或多个处理器执行时致使所述一或多个处理器执行包括以下操作的方法的指令:将请求从验证装置发送到耦合到所述验证装置的客户端装置,所述请求包含对来自存储于所述客户端装置内的代码的多个部分当中的特定部分的性质的质询,所述质询包括指示对应于所述代码的所述特定部分的特定存储器地址范围的数据;在所述验证装置处从所述客户端装置接收对所述请求的响应,所述响应包含与所述代码的所述性质相关联的信息;基于所述所接收信息而检验所述响应的正确性;及基于检验了所述响应的正确性,确定所述代码为经授权代码。4.根据权利要求3所述的非暂时性计算机可读存储媒体,其中所述方法进一步包含:选择所述经授权代码的多个存储器地址范围;针对所述多个存储器地址范围中的每一者确定所述经授权代码的相应部分;及计算每一所确定部分的相应性质。5.根据权利要求4所述的非暂时性计算机可读存储媒体,其中所述方法进一步包含:将指示所述经授权代码的所述部分的所述相应性质的第一信息及指示所述相应存储器地址范围的第二信息存储于安全存储装置中;及在所述安全存储装置中分别使来自所述多个存储器地址范围当中的存储器地址范围与来自所述部分的所述性质当中的性质相关联。6.根据权利要求5所述的非暂时性计算机可读存储媒体,其中所述选择所述经授权代码的所述多个存储器地址范围包括:从由所述经授权代码的起始地址及所述经授权代码的结束地址界定的范围随机选择所述多个存储器地址范围。7.根据权利要求5所述的非暂时性计算机可读存储媒体,其中所述方法进一步包括:从所述多个存储器地址范围当中随机选择所述特定存储器地址范围,在所述安全存储装置中所述特定存储器地址范围与所述经授权代码的所述特定部分的特定性质相关联。8.根据权利要求7所述的非暂时性计算机可读存储媒体,其中所述响应中的所述信息包括所述代码的一部分的性质,且其中所述检验所述响应的正确性包括:确定所述响应中的所述代码的所述部分的所述性质匹配存储于所述安全存储装置中的所述经授权代码的所述特定部分的所述特定性质。9.根据权利要求4所述的非暂时性计算机可读存储媒体,其中所述方法进一步包含:接收所述经授权代码的整个映像;接收与所述经授权代码相关联的签名;计算所述经授权代码的所述所接收整个映像的摘要;及基于所述所接收签名及所述所接收整个映像的所述所计算摘要而检验所述所接收整个映像的真实性。10.根据权利要求4所述的非暂时性计算机可读存储媒体,其中所述方法进一步包含:接收所述经授权代码的整个映像;随机选择所述经授权代码的第二整个映像的多个第二地址范围;针对每一第二地址范围确定所述经授权代码的相应第二部分;计算所述经授权代码的每一所确定第二部分的相应第二性质;及在安全存储装置中用所述经授权代码的所述第二部分的所述相应第二性质替换所述经授权代码的所述部分的所述相应性质。11.根据权利要求3所述的非暂时性计算机可读存储媒体,其中所述方法进一步包含:响应于确定所述代码为所述经授权代码,启用所述客户端装置以使用存储于安全存储装置中的机密数据或加密密钥。12.根据权利要求3所述的非暂时性计算机可读存储媒体,其中所述方法进一步包括...
【专利技术属性】
技术研发人员:K·D·马莱特斯凯,
申请(专利权)人:爱特梅尔公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。